スマート カード認証を使用して、ESXi ダイレクト コンソール ユーザー インターフェイス (DCUI) にログインできます。これを行うには、ユーザー名とパスワードを指定する代わりに、Personal Identity Verification (PIV)、Common Access Card (CAC) または SC650 スマート カードを使用します。

スマート カードは、集積回路チップが埋め込まれた小さなプラスチック製カードです。多くの政府機関および大規模企業では、スマート カード ベースの 2 要素認証を使用して、システムのセキュリティ向上やセキュリティ規制への準拠を実現しています。

スマート カード認証が ESXi ホストで有効になっている場合、DCUI では、ユーザー名とパスワードを要求するデフォルトのプロンプトの代わりに、スマート カードと PIN の組み合わせが求められます。

  1. スマート カードをスマート カード リーダーに挿入すると、ESXi ホストでその認証情報が読み取られます。
  2. ESXi DCUI にログイン ID が表示され、PIN の入力が求められます。
  3. PIN を入力すると、ESXi ホストによって、その PIN とスマート カードに保存されている PIN が照合され、Active Directory を使用してスマート カードの証明書が検証されます。
  4. スマート カードの証明書の検証に成功すると、ESXi DCUI にログインできます。

DCUI から F3 を押すと、ユーザー名とパスワードの認証に切り替えることができます。

正しくない PIN を何回か連続して入力すると(通常は 3 回)、スマート カードのチップがロックされます。スマート カードがロックされた場合、特定の担当者のみがロックを解除できます。

スマート カード認証の有効化

ESXi DCUI へのログインにスマート カードと PIN の組み合わせが求められるスマート カード認証を有効にします。

前提条件

  • Active Directory ドメインのアカウント、スマート カード リーダー、スマート カードなど、スマート カード認証を処理するためのインフラストラクチャを設定します。
  • ESXi を構成して、スマート カード認証をサポートする Active Directory に参加します。詳細については、Active Directory を使用した ESXi ユーザーの管理を参照してください。
  • vSphere Client を使用してルート証明書を追加します。ESXi ホストの証明書の管理を参照してください。

手順

  1. vSphere Client インベントリで、ホストに移動して参照します。
  2. [構成] をクリックします。
  3. [システム] で、[認証サービス] を選択します。
    現在のスマート カード認証ステータスと、インポートされた証明書のリストが表示されます。
  4. [スマート カード認証] パネルで、[編集] をクリックします。
  5. [スマート カード認証の編集] ダイアログ ボックスで、[証明書] ページを選択します。
  6. ルート CA 証明書や中間 CA 証明書など、信頼性のある認証局 (CA) の証明書を追加します。
    証明書は PEM 形式である必要があります。
  7. [スマート カード認証] ページを開き、[スマート カード認証を有効化] チェック ボックスを選択して、[OK] をクリックします。

スマート カード認証の無効化

ESXi DCUI ログイン用のデフォルトのユーザー名およびパスワード認証に戻るには、スマート カード認証を無効にします。

手順

  1. vSphere Client インベントリで、ホストに移動して参照します。
  2. [構成] をクリックします。
  3. [システム] で、[認証サービス] を選択します。
    現在のスマート カード認証ステータスと、インポートされた証明書のリストが表示されます。
  4. [スマート カード認証] パネルで、[編集] をクリックします。
  5. [スマート カード認証] ページで [スマート カード認証を有効化] チェック ボックスの選択を解除して、[OK] をクリックします。

接続の問題が発生した場合のユーザー名とパスワードを使用した認証

Active Directory (AD) ドメイン サーバにアクセスできない場合は、ホストでユーザー名とパスワードの認証を実行して緊急アクションを実行することによって、ESXi DCUI にログインすることができます。

例外的な状況では、接続問題、ネットワーク障害、または災害などの理由で、AD ドメイン サーバにアクセスしてスマート カード上のユーザー認証情報を認証できないことがあります。その場合は、ローカル ESXi 管理者ユーザーの認証情報で ESXi DCUI にログインすることができます。ログイン後、診断やその他の緊急アクションを実行できます。ユーザー名とパスワードのログインへのフォールバックは、ログに記録されます。AD への接続が回復すると、スマート カード認証が再び有効になります。

注: vCenter Server へのネットワーク接続が失われても、Active Directory (AD) ドメイン サーバが稼働していれば、スマート カード認証への影響はありません。

ロックダウン モードでのスマート カード認証の使用

ESXi ホストのロックダウン モードが有効になっていると、ホストのセキュリティが向上し、DCUI へのアクセスが制限されます。ロックダウン モードにより、スマート カード認証が動作しなくなることがあります。

通常のロックダウン モードでは、管理者権限のある例外ユーザー リストのユーザーのみが DCUI にアクセスできます。例外ユーザーは、ESXi ホストにローカルに定義されたアクセス権を持つホスト ローカル ユーザーまたは Active Directory ユーザーです。通常のロックダウン モードでスマート カード認証を使用する場合、vSphere Client からユーザーを例外ユーザー リストに追加する必要があります。例外ユーザー リストに追加されたユーザーは、ホストが通常のロックダウン モードになってもアクセス権は失われず、DCUI にログインできます。詳細については、『ロックダウン モード例外ユーザーの指定』を参照してください。

厳密なロックダウン モードでは、DCUI サービスが停止します。そのため、スマート カード認証を使用してホストにアクセスできません。